Технологии и продукты Microsoft в обеспечении ИБ Лекция 16. Анализ защищённости информационной системы на основе выявления уязвимостей и обнаружения вторжений
Высшая школа экономики Цели Изучить классификацию уязвимостей, информационных атак и их возможных последствий. Рассмотреть различные типы технологических и эксплуатационных уязвимостей программно- аппаратного обеспечения АС. Изучить основные способы реализации информационных атак. Научиться отличать сетевые и хостовые системы анализа защищённости. Познакомиться с методами сбора и анализа информации, реализуемые в системах анализа защищённости.
Высшая школа экономики Уязвимость - «ахиллесова пята» информационных систем
Высшая школа экономики От чего защищать?
Высшая школа экономики Типы уязвимостей Технологические уязвимости Уязвимость типа «переполнение буфера» Уязвимость типа «SQL Injection» Уязвимость типа «format string» Эксплуатационные уязвимости Неправильная настройка сетевых сервисов АС Использование слабых и нестойких к угадыванию паролей доступа Отсутствие установленных модулей обновления программного обеспечения (Service Packs, HotFixes, и т.д.)
Высшая школа экономики Классификация уязвимостей АС
Высшая школа экономики Технологическая уязвимость типа «переполнение буфера»
Высшая школа экономики Источники уязвимостей типа «buffer overflow» программы, которые запускаются локально на хосте сетевые приложения, которые обеспечивают интерактивное взаимодействие с пользователем на основе сетевых протоколов. Примером сетевых программ являются Web-приложения, такие как CGI-модули, PHP-сценарии, активные серверные страницы ASP и др. хранимые процедуры серверов СУБД
Высшая школа экономики Технологическая уязвимость «SQL Injection» Уязвимости типа «SQL Injection» («инъекция в SQL-запросы») позволяют нарушителю выполнять несанкционированные операции над содержимым баз данных SQL-серверов путём вставки дополнительных команд в SQL- запросы Уязвимость «SQL Injection» заключается в отсутствии проверки корректности данных, поступающих на вход программе, что потенциально может позволить нарушителю составить входные данные таким образом, что приведёт к искажению искомого SQL-запроса к СУБД
Высшая школа экономики Активизация уязвимости «SQL Injection» с целью получения НСД SQLQuery = "SELECT Username FROM Users WHERE Username = '" & strUsername & "' AND Password = '" & strPassword & "'" strAuthCheck = GetQueryResult(SQLQuery) If strAuthCheck = "" Then boolAuthenticated = False Else boolAuthenticated = True End If «SELECT Username FROM Users WHERE Username = '' OR ''='' AND Password = '' OR ''=''» (полужирным шрифтом выделены команды, которые внедряются нарушителем в исходный SQL-запрос).
Высшая школа экономики Активизация уязвимости «SQL Injection» с целью извлечения данных SQLString = "SELECT FirstName, LastName FROM Employees WHERE City = '" & strCity & "'« SELECT FirstName, LastName FROM Employees WHERE City = '' UNION ALL SELECT OtherField FROM OtherTable WHERE ''=''
Высшая школа экономики Технологическая уязвимость «Directory traversal» Уязвимости типа «Directory traversal» («просмотр директорий») могут позволить злоумышленнику получить несанкционированный доступ к файловым ресурсам сервера в обход установленных правил разграничения доступа «
Высшая школа экономики Технологическая уязвимость «Cross Site Scripting» Уязвимости типа «Cross Site Scripting» («межсайтовое выполнение сценариев») характерны для серверных Web- приложений, не предусматривающих проверку синтаксиса входных данных, на основе которых формируются HTML- документы, отправляемые пользователям « document.location. replace(' ; ">Link Text »
Высшая школа экономики Уязвимости реализаций стека TCP/IP Уязвимости реализаций стека TCP/IP связаны с ошибками, которые допускаются программистами на этапе реализации программных модулей, отвечающих за обработку входящих и исходящих пакетов данных Пример уязвимости данного типа – атака «Land» хост
Высшая школа экономики Жизненный цикл атаки
Высшая школа экономики Типы информационных атак
Высшая школа экономики Инструментальный анализ защищенности Для чего предназначен: Инвентаризация ресурсов сети (устройства, ОС, службы, ПО) Идентификация и анализ технологических уязвимостей Подготовка отчетов, описание проблем и методов устранения Типы используемых для анализа средств: Сетевые сканеры безопасности Хостовые сканеры безопасности (проверка ОС и приложений) Утилиты удаленного администрирования Утилиты для верификации найденных уязвимостей Утилиты для инвентаризации ресурсов
Высшая школа экономики Сбор информации Сетевые датчики предназначены для сбора информации о пакетах данных, передаваемых в том сегменте ИС, где установлен датчик Хостовые датчики устанавливаются на определённые компьютеры в ИС и предназначаются для сбора информации о событиях, возникающих на этих компьютерах
Высшая школа экономики Анализ информации Сигнатурные методы описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов семантическое выражение на специальном языке формальная математическая модель и т.д. Поведенческие методы отслеживают несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах метода
Высшая школа экономики Защита периметра Защита серверных приложений Защита клиентской и серверной ОС Всесторонняя защита бизнес- приложений, позволяющая достичь лучшей защиты и безопасного доступа посредством глубокой интеграции и упрощенного управления Microsoft Forefront
Высшая школа экономики Forefront Network Inspection System (NIS) Сигнатуры, основанные на уязвимостях Основана на GAPA от Microsoft Research Generic Application Level Protocol Analyzer Платформа для быстрого низкоуровневого сканирования Расширяема Security assessment and response (SAS) Моделирование, основанное на поведении Система предотвращения вторжений
Высшая школа экономики Основанная на сигнатурах Определяет и противостоит атакам из интернета, основанным на уязвимостях Определяет и предупреждает о «внутренних» компьютерах, которые ведут атаки Основанная на анализе поведения «Найди то, не знаю что» Отслеживает поведение систем и определяет потенциально зловредные компоненты сети Может противодействовать угрозе на основании политики Система предотвращения вторжений
Высшая школа экономики Использованные источники Сердюк В.А. Уязвимость - «Ахиллесова пята» современных информационных систем «BYTE/Россия», 2004, 4 (68), стр Сердюк В.А. Вы атакованы – защищайтесь (методология выявления атак) // «BYTE/Россия», 2003, 9 (61), стр Сердюк В.А. Новое в защите от взлома корпоративных систем. Техносфера; Калихман Р. Forefront Client Security: технический обзор // Microsoft, слайды. Опубликовано: b85c-ad61a700ea45/1_FCS_overview.pdf b85c-ad61a700ea45/1_FCS_overview.pdf
Спасибо за внимание!